Kolaylıklarının Yanında Teklikeleri Var
Kendi bilgisayarınızda hesaplarınınz sürekli açıktır ve bir siteye kaydolmamak için yana yakıla google butonu ararsınız varsa çok mutlu olursunuz. Fakat bu apinin kullanımında çok tehlikeli bir sorunu tespit ettik. Siz bir A sitesine google butonu ile giriş yaptığınız zaman o tarayıcıda artık gmail ve benzeri tüm google uygulamalarına da giriş yapmış oluyorsunuz. A sitesinden çıkış yaptınız diyelim ne yazikki google hesabınız o tarayıcıda halen daha açık kalıyor. Tamam kalsın diyorsunuz, fakat...
En Tehlikeli Senaryo
Başka birine ait veya internet kafedeki bir bilgisayardasınız. A sitesine google butonu ile giriş yaptınız. İşiniz bitti çıkış yaptınız ve masadan kalkıp gittiniz. Başka birisi aynı bilgisayar tarayıcı ile epostasına bakmak istedi ve gmail.com adresine girdi. Göreceği ilk şey giriş yapılmış bir gmail eposta hesabı olacak. Hemde size ait gmail hesabı. Kötü niyetli birisi ise geçmişiniz, bilgileriniz, gmail ile bağlı olan uygulamalarınız (facebook, twitter, instagram vb...) hepsi çalınır.
Ne Yapmalısınız?
Bir geliştirici olarak google hesaplarından çıkış yaptırmanın bir yolu olmadığını araştırarak gördük. Hiçbir Google Api'si logout yaptıramıyor veya yaptırmıyor. Bunun temel nedeni kullanıcılar bir kere giriş yaptığından sürekli onlardan veri almaya devam etmek istemesi.
Peki kullanıcı olarak ne yapmalısınız:
- Halka açık bir yerde google ile bağlan düğmelerini kullandıysanız muhakkak gmail.com sitesine girerek çıkış yapınız.
- Veya "https://www.google.com/accounts/Logout" bu adresi ziyaret ederek tarayıcıdaki google hesabınızı kapatın.
- Öncelikle google'a bu yöntemin yanlış olduğunu bildiren bir metin yazmalısınız.
- İkinci olarak Sign In With Google ile giriş yaptırıyorsanız kullanıcıya bu durumu bildirecek bir arayüz hazırlamalısınız.
- Çıkış butonlarınız iki özelliği de kapsamalı
- Google hesabım açık kalsın sadece siteden çıkış yap
- Hem siteden hem de google hesabımdan çıkış yap
- İki hesabı birden kapatmak için web sitenizdeki sessionları temizledikten sonra "https://www.google.com/accounts/Logout" adresine siteyi otomatik yönlendirin. Böylelikle google hesabı da kapanmış olacaktır.